Where communities thrive


  • Join over 1.5M+ people
  • Join over 100K+ communities
  • Free without limits
  • Create your own community
People
Activity
    Luuk van Kuipers
    @LvKuipers_gitlab
    Een week geleden doorgegeven dat een aantal domeinnamen al weken niet meer in gebruik zijn, maar dit heeft nog niet tot een aanpassing op de 'faalkaart' mogen leiden. Als de weergave van 'kaart' sterk verouderd raakt, verliest deze zijn informatiewaarde en geloofwaardigheid.
    Spijkerfestijn
    @Spijkerfestijn
    Beste Elger,
    Spijkerfestijn
    @Spijkerfestijn
    Het wordt nu toch een beetje ergerlijk dat de informatie op de site niet wordt geactualiseerd. We zien binnen diverse tools dat alle instellingen op onze sites voldoen aan de open standaarden maar dit wordt op de site niet zichtbaar. Bij andere sites zitten knoppen die een herscan in werking kunnen zetten. Is dit niet te implementeren?
    Het is ook jammer dat we niet op een snellere en efficiëntere manier contact kunnen leggen om problemen op te kunnen pakken
    Ondanks mijn gemopper vind ik de site nog steeds bruikbaar mits hij actueel blijft.
    Michael Verhoef
    @K100rs1000_twitter
    Idd erg jammer dat de site op dit moment niet wordt geactualiseerd en er weinig tot geen reactie komt op contactverzoeken.
    Hoe kunnen we zorg dragen dat dit vlot getrokken wordt?
    Elger Jonker
    @stitch
    Hi all, ja, ik / wij vinden dat net zo ergerlijk dat e.e.a niet actueel is. Het moet allemaal in de vrije tijd en uit eigen portomonee. Een idee is om dat met een crowdfunding te doen o.i.d. zodat er gewoon tijd voor gemaakt kan worden.
    raduen
    @raduen
    Men kan beter de site even down brengen en pas weer in de lucht als alle issues opgelost zijn. De site geeft nu een compleet verkeerd beeld naar de buiten wereld. Alle test site geven alles keurig 100% goed bijvoorbeeld ssllabs geeft A+ en basisbev.nl geeft site gewon rood aan.
    Elger Jonker
    @stitch
    Het is nog beter als er inkomsten zouden zijn, zodat er gewoon tijd gereserveerd kan worden bij iemand om alles bij te werken en meldingen te verwerken. We doen nu wat we kunnen als best effort. Een volgende update heeft een donatieschermpje 👍 met inzicht wat een donatie doet.
    Tyson
    @delangethijs_twitter
    Ik ben het wel met Raduen eens. Als er geen inkomsten zijn wordt het wel een uitdaging. We zijn druk bezig TLS1.0 en 1.1 uit te zetten. Ondertussen staat mijn gemeente oranje op de website. Er zijn andere gemeenten die groen op de kaart staan, die hetzelfde issue hebben. Dit is natuurlijk ook niet fair. Basisbeveiliging is een super initiatief, maar er moet aan de kant van de gemeente ook, veel tijd, energie en geld in gestoken worden om alles te organiseren. Security by design is helaas nog niet ingebed bij alle leveranciers.

    Overigens is het ook niet up-to-date. Een scan via SSLlabs:

    1 2001:678:56c:30:0:0:0:50 Wed, 19 Feb 2020 09:29:32 UTC - A
    2 195.72.120.50 SEN-HV-30.vmware.seneca.nl Wed, 19 Feb 2020 09:31:26 UTC - A

    het laatste issue wordt vandaag opgelost. Wanneer wordt de scan weer opnieuw gedraaid? Overigens speelt dit issue ook op de website van basisbeveiling.nl (B-grade) zelf (!)
    Tyson
    @delangethijs_twitter
    En nu heeft de leverancier het ene probleem opgelost door een nieuw CMS en ben ik op security headers weer terug bij af....
    Tyson
    @delangethijs_twitter
    Ik heb 4x een verklaar ingediend. Wanneer worden deze doorgevoerd?
    Zoals ik 2 jaar geleden al voor een andere organisatie heb doorgegeven, met klem het verzoek om GEEN CNAME verwijzingen uit DNS op te nemen op basisbeveiliging.nl. Dit zijn verwijzingen naar de omgeving van bijvoorbeeld Microsoft. We hebben ook nu weer een verzoek gedaan om dit op te lossen bij Microsoft, maar de kans dat zij dit oplossen is vrijwel nihil. Voor het gebruik van MS Intune en O365 zijn deze registraties nodig. Microsoft herkend het domein en selecteert bijbehorende tenant
    Tyson
    @delangethijs_twitter
    nog 4x een verklaar
    van 7 een bevestiging gekregen
    Tyson
    @delangethijs_twitter
    Hoe frequent wordt er gekeken naar basisbeveiliging?
    Tyson
    @delangethijs_twitter
    Kan iemand de explains toevoegen?
    Overigens ben ik wel verbaast over het kleine aantal gemeenten dat Microsoft links gebruikt. Als je zoekt op "enterpriseenrollment" of "enterpriseregistration" dan zijn er maar een handje vol gemeenten die dat nu gebruiken?
    Tyson
    @delangethijs_twitter
    Kan er aub gekeken worden naar Basisbeveiliging?
    Tyson
    @delangethijs_twitter
    Volgens mij is er geen aandacht meer voor basisbeveiliging.nl, maar wordt er nog wel automatisch gescand ...
    Tyson
    @delangethijs_twitter
    Overigens heb ik een aantal andere gemeenten gevonden, die wel gebruik maken van Microsoft enterpriseenrollment en enterpriseregistration maar dit niet wordt weergegeven op basisbeveiliging.nl. Via DNSSPY is te zien dat zij ook de CNAME DNS registratie hebben. Dit voelt helemaal unfair...
    Elger Jonker
    @stitch
    Hi all: voor de enterprise enrollment issues en dergelijke wordt nu automatisch comply or explain uitgevoerd. Ook worden alle niet-html sites niet meer beoordeeld op html headers
    De crawling scripts werken op dit moment niet voldoende, we willen een zo'n volledig mogelijk beeld bieden van de diensten die beschikbaar zijn.
    We zijn bezig met plannen uitwerken hoe we budget kunnen krijgen om basisbeveiliging.nl te onderhouden. We krijgen veel vragen, maar hebben daar niet voldoende tijd om alle issues op te lossen.
    Een vraag die we willen stellen is: wat vinden jullie het waard (in euros per maand) om basisbeveiliging.nl te onderhouden, meldingen te verwerken en dergelijke. Op het antwoord van die vraag zal de hoeveelheid inspanning hangen. We willen graag dat alles actueel is natuurlijk, maar kunnen dat niet voor elkaar krijgen zonder dat we medestanders hebben die daarvoor ruimte geven. (We hebben ons best gedaan in vrije tijd en dat is niet voldoende)
    Elger Jonker
    @stitch
    Als je niet publiek wil reageren, dat kan ook direct: info@internetcleanup.foundation
    Michael Verhoef
    @K100rs1000_twitter
    Heb je ook al eens geinformeerd bij Ministerie van Economische Zaken voor een eventueel budget?
    Vanuit de landelijke overheid wil men ook graag dat Nederland de zaken op orde heeft.
    https://monitor-nederlanddigitaal.nl/de-basis-op-orde
    Ik ben bereid om eventueel mee te werken op vrijwillige basis, maar zal het niet voor elkaar krijgen om een bedrag per maand los te krijgen van mijn gemeente als dit niet gezamenlijk met alle gemeenten en overheden bekostigd wordt.
    Tyson
    @delangethijs_twitter
    Ik sluit me aan bij Michael. Dit zou dan gefinancieerd kunnen worden vanuit VNG / IBD?
    Overigens worden de comply or explain niet automatisch doorgevoerd. Zie moerdijk.nl
    Ik heb zelfs allemaal explains door gemaild, welke ook (nog) niet zijn doorgevoerd.
    Tyson
    @delangethijs_twitter

    Domeinnaam beveiliging (DNSSEC)

    Vertrouwen in het certificaat (HTTPS)

    Kwaliteit van de versleuteling (HTTPS)

    Ontbrekende versleuteling (HTTP only)

    Bestandsoverdracht (FTP)

    E-Mail: Versleuteld transport (STARTTLS)

    E-Mail: Sender Policy Framework (SPF)

    E-Mail: DomainKeys Identified Mail (DKIM)

    E-Mail: Domain-based Message Auth (DMARC)

    Website: Strict-Transport-Security Header (HSTS)

    Website: X-Frame-Options Header (Clickjacking)

    Website: X-Content-Type-Options Header

    Website: X-XSS-Protection Header
    🔎 enterpriseregistration.moerdijk.nl ✅ ⚠️ ✅ ✅
    🔎 enterpriseenrollment.moerdijk.nl ✅ ⚠️ ✅ ✅

    Vuurvos
    @Vuurvos1_twitter

    Hoi Elger, de dienst op zich zelf is best handig, zeker en vanuit de gedachte om het internet veiliger te maken en daarbij met de overheden te beginnen geen slechte zaak.

    Het probleem is dat de site op dit moment geen meters kan maken en daar wringt de schoen. Doordat eea niet actueel is, en omdat de scanning geen rekening houdt met externe factoren als Microsoft's CNAME beleid, wordt de bulk van de gemeentes (en provincies) op kosten gejaagd terwijl het aan de protocol veiligheid verder helemaal niets toevoegt. Elk jaar een "explain" moeten insturen op een defacto Microsoft standaard die vervolgens door een gebrek aan mankracht niet (of niet snel) wordt verwerkt is heel ontmoedigend.

    Als je als vrijwilliger een grote broek aan trekt en overheden wijst op hun gebreken, dan moet je die overheden daarna wel een verbetering kunnen laten zien als daar veranderingen doorgevoerd zijn. Wanneer burgers op basis van jouw "naming & shaming" strategie hun lokale overheden aanspreken op gebrekkigheden, moet het wel te allen tijde actueel zijn. Is het dat niet, dan is een disclaimer echt wel noodzakelijk.

    Het is helemaal geen slecht idee van Michael om de techniek bij het IBD aan te bieden. Die zijn hard aan de weg aan het timmeren, dus wie weet...

    Tyson
    @delangethijs_twitter
    Helemaal eens met de reactie van Vuurvos. Had bijna de zelfde tekst in concept klaar staan :D
    Overigens ben ik ook best bereid om als vrijwilliger te ondersteunen.
    Tyson
    @delangethijs_twitter

    Ik zie dat de WebSec Bot wel heeft gewerkt voor Breda
    enterpriseenrollment.breda.nl - https/443 - IPv4
    high Vertrouwen in het certificaat (HTTPS): Het certificaat wordt niet vertrouwd.

    Dit certificaat wordt op specifieke apparatuur gebruikt. Deze apparatuur is ingericht om dit certificaat te vertrouwen.

    Websecmap Explanation Bot één maand geleden

    Helaas nu niet meer dus
    Tyson
    @delangethijs_twitter
    @stitch Worden er nu helemaal geen issues meer opgepakt?
    Tyson
    @delangethijs_twitter
    @stitch Zou er in ieder geval naar de WebSecMap Explanation Bot gekeken kunnen worden? Mijn organisatie staat er nu niet goed op door de Microsoft enterpriseenrollment en Microsoft enterpriseregistration CNAMEs.
    Tyson
    @delangethijs_twitter
    Een tijd geleden heb ik aangeboden te helpen met faalkaart, omdat er geen tijd is om het e.a. bij te werken. Is er nu tijdens de Corona situatie ook geen tijd? Is er een mogelijkheid om te helpen?
    abonder
    @abonder
    In reactie op het bericht van Micheal over het steun van het ministerie EZK heb ik een vraag: EZK en BZK ondersteunen reeds het initiatief internet.nl; ook die scant op kwetsbaarheden en geeft advies daaromtrent. De landkaart van basisbeveiliging.nl vind ik daar niet terug maar wat zou een argument zijn voor het ministerie om beide sites financieel te ondersteunen?
    Maarten
    @MaartenPolWK_gitlab
    Wordt er wel eens een nieuwe scan voor wat betreft het vertrouwen in het certificaat en de kwaliteit van de versleuteling gedaan? Volgens de pagina met scans zijn de laatste 4 maand geleden geweest?!
    Tyson
    @delangethijs_twitter
    De mensen achter deze website doen helemaal niks met de meldingen en de website zelf. Ik heb ook hulp aangeboden en ook geen reactie. Misschien een takedown request doen....
    abonder
    @abonder
    Zonder budget is het lastig iets te beginnen dus ik wil zeker niets af doen aan de bijdragen die er wel geleverd worden. Maar als het voor Basisbeveiliging.nl niet mogelijk is om binnen één maand een terugkoppeling te geven aan vrijwilligers die een helpende hand uitsteken, hoe serieus ben je dan wanneer je andere organisaties dagelijks de maat neemt bij het naleven van de open-standaarden? Dit forum blijft te stil, ik hoop dan ook dat dit in de toekomst verandert, of de kennis overgedragen wordt aan internet.nl en deze site uit gaat. Ook Kees (VNG IBD) liet afgelopen week zien dat je de resultaten van deze site met een korreltje zout moest nemen, ook niet echt een compliment.
    Elger Jonker
    @stitch
    Hi allen, dank voor de reacties. Het is inderdaad langzamer gegaan dan de bedoeling is. Daarvoor moet er structureel iets veranderen, want met de beschikbare tijd blijkt ook dat het lastig om een community te bouwen: en de reacties daarover zijn ook terecht @abonder en @delangethijs_twitter.
    Doordat de scans zo ver achter liepen is er tijd genomen (die er eigenlijk niet is) om de scans te herschrijven. Daardoor is de kaart nu behoorlijk actueel, > 95%. Dat gaat soms nog met horten en stoten maar wel de goede kant op.
    Ik of een van de andere mensen van basisbeveiliging proberen contact op te nemen om te sparren over continuiteit.
    Elger Jonker
    @stitch
    De scans werken lekker, er is nog wel wat ruimte voor verbetering in edge cases.